什么是ISO 26262？

ISO 26262“道路车辆–功能安全”是由国际标准化组织（ISO）制定的一项国际安全标准，为道路车辆电气和/或电子（E/E）系统的安全设计和开发提供了指南。该标准正式发布于2011年，并在2018年进行了修订。

ISO 26262不是强制的法规。事实上，这是一个行业专用、与安全相关的先进指南，车辆原始设备制造商（OEM）及其供应商均可在开发车辆电气和电子系统时信心十足地遵循这些指南。

总的来说，该标准促进了汽车行业的关键利益相关方和消费者之间的信任。ISO 26262源于国际电工委员会制定的IEC 61508标准。

汽车电子产品已取得长足进展。从20世纪50年代第一台装有晶体管的车载收音机开始，我们一路见证了汽车电子产品的发展：20世纪60年代的电子点火系统，20世纪70年代的发动机控制单元，20世纪80年代的防抱死制动系统，20世纪90年代的信息娱乐系统，一直到21世纪的高级驾驶辅助系统。

汽车电子产品成本在车辆总成本中的占比已从1970年的5%上升到2010年的35%，该值预计到2030年将至少达到50%。如今，一辆现代汽车上安装的半导体芯片可能多达3000颗。这反映了系统功能从机械系统到机电系统的总体迁移，我们从更高的性能和成本中可见一斑。

例如，在发动机控制中应用机电一体化技术，可以执行实时计算来优化发动机性能，向汽车制造商展示了数字技术的可能性。

此外，实际上，数字传感器可以监控各种参数，如油门位置、曲轴位置、质量空气流量、温度和废气中的氧气浓度等，以显著降低车辆的燃油消耗。

这表明，利用E/E系统实现的车辆功能的显著改进，无法仅通过机械系统来实现。在现代车辆中，机电一体化系统为一系列功能提供了支持，包括：

• 动力转向
• 高级驾驶辅助系统（ADAS）
• 防抱死制动 
• 自动变速器（包含控制器芯片、速度传感器和半导体电源开关，以实现复杂的功能，例如根据地形进行换档）

因此，为了最大限度地降低E/E系统的危险风险，国际标准化组织正式制定了一系列综合全面的功能安全目标和要求，其根据面向汽车电气/电子系统的功能安全标准IEC 61508进行调整，以满足汽车行业的独特特性。

功能安全要求

ISO 26262安全要求涵盖了车辆的全生命周期，包括与开发、生产、操作、维修和报废相关的活动。

第一版ISO 26262于2011年发布（ISO 26262:2011），其包含了在总重量不超过3,500 kg的“量产乘用车”中安装的E/E系统的功能安全的相关内容。其修订版于2018年发布（ISO 26262:2018），内容涵盖了除轻便摩托车以外的所有道路车辆。

与IEC 61508一样，ISO 26262是一种基于风险的标准，提供了对E/E系统故障造成的危险的定性评估。

ISO 26262的目标包括：

• 功能安全：ISO 26262概述了整个开发流程中适用的功能安全方面，包括需求规范、设计、实施、集成、确认、验证和配置。该标准旨在检测故障情况并定义应对方式，从而保护道路使用者免受车辆电子产品和软件故障造成的伤害。
• 汽车安全生命周期：ISO 26262提供了一个综合全面的框架，涵盖了汽车安全的全生命周期，包括管理、开发、生产、操作、维修和报废。其支持在这些阶段的定制活动，以确保在整个车辆生命周期中保持安全性。
• 风险管理：ISO 26262最大限度地降低了与E/E汽车系统设计开发相关的风险，以防止危险和潜在威胁生命的故障。其力求实现可接受的剩余风险水平，确保系统尽可能安全。该标准采用了基于风险的方法，通过确定被称为汽车安全完整性等级（ASIL）的风险类别，帮助指定安全要求，以实现可接受的剩余风险水平。
• 验证和确认：该标准提供了验证和确认措施的要求，以确保实现足够且可接受的安全水平，并且强调了在系统和车辆层面测试和验证安全机制的重要性。

机械、电气、电子和软件学科方面的集成会增加车辆系统故障的风险。因此，为降低这些风险，ISO 26262提供了关于系统要求和流程的全面指导。 

该标准：

• 概述了全面的安全生命周期，包括从概念到停用等多个阶段的安全检查
• 重点聚焦电气和电子（E/E）系统的功能安全，同时还解决了这些系统与其他车辆系统的集成问题，以确保车辆的整体安全
• 强调了实现功能安全所需的功能开发活动（如需求规范、设计和实施）和以质量为导向的活动（如验证和确认措施）

下面介绍了构成ISO 26262标准的12个部分：

第 1 部分：术语

第1部分概述了整个标准中应用的术语、定义和缩写——特别需要注意“故障（fault）”、“错误（error）”和“失效（failure）”的定义。

第 2 部分：功能安全管理

第2部分概述了开展安全相关活动的人员需要确保的组织要求。 

第 3 部分：概念阶段

第3部分介绍了如何在产品开发的早期阶段，针对集成的每个相关项（系统或子系统）执行危害分析和风险评估（HARA），同时还介绍了如何通过功能架构解决已识别的危险。  

第 4 部分：系统级产品开发

第4部分介绍了系统级技术架构设计、相关项集成和测试。在这一研发阶段，工程师经常执行故障树分析（FTA）和失效模式与影响分析（FMEA）。

第 5 部分：硬件级产品开发

第5部分介绍了硬件设计、集成和验证，包括硬件指标评估。

第 6 部分：软件级产品开发

第6部分介绍了软件架构和单元设计、实施、集成和验证。 

第 7 部分：生产、操作、维修、报废

第7部分概述了安全相关系统和项目的生产流程，还详细介绍了这些相关项的操作、维修和报废。

第 8 部分：支持流程

第8部分介绍了整个安全生命周期中的支持流程的实施，例如，变更管理需求、文档管理需求、工具评估和认证需求等。

第 9 部分：面向汽车安全完整性等级（ASIL）的安全分析

第9部分规定了ASIL分解要求和安全分析要求（包括从属故障分析和单元共存标准）。

第 10 部分：ISO 26262指南

第10部分提供了ISO 26262各个部分的附加说明。

第 11 部分：关于将标准应用于半导体的指南

第11部分概述了半导体组件的开发、生产和操作，介绍了不同的半导体技术和用例，并就如何执行某些安全生命周期活动提供指导。

第 12 部分：ISO 26262对摩托车的适用性

如标题所述，第12部分介绍了ISO 26262对摩托车的适用性。

尽管并非法律强制要求，但ISO 26262是一项重要的安全标准，可确保车辆（全生命周期）中电气和电子系统的集成；

其还进一步引入了一种用于通过ASIL评估风险的可靠方法。因此，ISO 26262是一项全面的标准，适用于一系列车辆类型和技术以及汽车全生命周期。

作为一项可靠的汽车功能安全标准，它能够：

• 改善设计工作流程：ISO 26262解决了汽车系统中软硬件集成的复杂性，为软硬件开发提供了指导。
• 提高车辆安全性：ISO 26262涉及汽车电子和电气系统的整个安全生命周期，为制造商、其供应商和相关机构（包括美国国家公路交通安全管理局）提供了一致的参考点，以确保稳健的安全管理开发、生产和测试流程。
• 提高信任：通过遵守一套公认的标准，汽车行业的制造商、供应商、消费者和其他利益相关方都可以对车辆及其部件的安全性充满信心。

下面简要概述了ISO 26262设计和验证流程：

1. 列出项目： “相关项（item）”一词在ISO 26262中具有特定含义，描述了在车辆级别执行某项功能（或功能的一部分）的系统（或系统组合）。因此，它是流程中最高级别的识别对象，例如防抱死制动系统（ABS）。
2. 概述顶层功能：概述每个相关项（包括子系统）的功能要求。
3. 识别可能的危险：参考一组预定义的危险事件，例如ABS故障导致的滑动，对每个相关项执行危险分析和风险评估（HARA）。
4. 确定ASIL：汽车安全完整性等级——从A（最不严重）到D（最严重，危及生命），其评定基于三项因素，即暴露概率、可控性和风险严重性。
5. 确定安全目标：安全目标源自HARA中被确定为车辆级别顶层安全要求的危险事件。每项安全目标都具有ASIL评级，并且可能与一个或多个危险相关联。
6. 指定功能安全要求：执行故障树分析（FTA）等安全分析，以确定可能导致违反安全目标的危险事件根本原因；此分析有助于建立功能安全概念（FSC）。FSC旨在指定解决相关故障影响所需的安全措施，并将功能安全要求分配给系统架构设计或外部措施。
7. 指定技术安全要求：建立技术安全概念（TSC），该概念可指定技术安全要求，并设计满足上述功能安全要求的系统架构。技术安全要求会被分配给系统的各个单元。   
8. 设计产品：在产品设计过程中，工程师开发符合上述技术安全要求的产品。
9. 确认和验证：“确认”使安全工程师能够根据安全要求确认产品设计，而“验证”则是实现在真实场景中进行测试。

如本标准的第8部分所述，整个开发生命周期中的支持流程（生产、操作、变更管理和质量管理）在满足合规性要求方面发挥着关键作用。

为确保合规性，制造商及其供应商必须按照“确认措施”程序，根据ISO 26262中提供的功能安全指南检查其产品和流程。这些措施分为以下三类：

• 确认审核：判断特定工作成果是否符合相关ISO 26262目标和需求
• 功能安全审计：判断实施的流程是否符合ISO 26262目标和需求
• 功能安全评估：判断是否符合ISO 26262目标和需求。功能安全评估应考虑确认审核和功能安全审计的结果。

ISO 26262的推出是为了应对道路车辆中日益复杂的电气和/或电子系统带来的挑战。因此，设计合规相关项的复杂性也相应增加。

在此情况下，汽车工程师必须应对以下挑战：

• 符合ISO 26262各部分涉及的所有标准，考虑到每个部分中的广泛目标和要求
• 待开发系统（软件定义的车辆架构、高度自动化驾驶系统、信息娱乐系统等）的复杂性不断增长 
• OEM厂商和为第三方OEM厂商设计芯片的供应商，在不了解预期最终用途的安全要求情况下开发通用平台。在这种情况下，设计人员必须做出假设，确保他们提供这些假设的完整文档
• 需要监控大量的设计数据、相关性、知识产权和文档
• 能够追踪开发流程中使用的每个工具、系统或相关项的IP所有权。这意味着工程师必须仔细评估、记录和验证每家供应商的IP产品。

鉴于上述挑战，如果没有专业软件工具的帮助，要符合ISO 26262合规性显然是一项几乎不可能完成的任务。

考虑到车辆召回的成本，汽车供应链中的大多数OEM厂商都需要ISO 26262合规性证据。

在过去，成功的研发项目通常依赖于各种专用工具的拼凑，而Ansys medini® analyze™软件则是一款基于模型的综合工具（便捷的软件包形式），专门用于道路车辆电气和电子系统的安全分析。

Ansys medini analyze软件为汽车安全设计领域提供了透明度，促进了汽车行业关键利益相关方之间的信任与协作。这可以实现：

• 基于模型的安全性分析
• 具有安全属性的系统建模语言（SysML）建模
• 功能安全性分析
• 使用失效模式影响和诊断分析（FMEDA）、HARA、危害和可操作性（HAZOP）研究、失效模式与影响分析（FMEA）、故障树分析FTA、“预期功能安全（SOTIF）”标准等方法进行关键安全性分析
• 系统、软件和硬件级的安全性分析
• 与需求管理工具集成
• 端到端可追溯性、工作流程等

此外，除了Ansys medini analyze软件之外，Ansys SCADE®产品系列还提供了基于模型的软件开发环境：

• 基于模型的设计编辑器 
• 安全代码的自动生成
• 测试功能
• 最高可达MC/DC（修正条件/判定覆盖）级别的测试覆盖测量
• AUTOSAR合规性

如果您对简化ISO 26262流程感兴趣，请注册申请试用Ansys medini analyze软件。

如果您希望将软件设计和验证成本降低高达50%，请注册申请免费试用Ansys SCADE软件。

相关资源